Snort log를 사용하여 파일 추출 하는 법
글쓴이: 일회용아이디 / 작성시간: 목, 2020/03/26 - 2:22오후
안녕하세요
환경 : 칼리 리눅스 Snort 2.9.7
목표 : 공격자가 공격대상자에게 FTP를 활용하여 악성코드를 전송하였을 때 Snort를 이용하여 파일 전송 log를 기록하고 log를 NetworkMiner로 파일을 추출하는 것 입니다.
snort rule은 아래와 같이 지정하였습니다.
alert tcp any any -> any any (msg:"Malware ccccccc"; content:"|4D 5A|"; offset:0; sid:54450002;)
wireshark로 패킷 과정을 전부 캡쳐하고 miner로 파일추출하는것은 문제 없었습니다.
snort로 파일을 탐지하고 miner에서 파일을 추출까지 하려면 어떻게 rule 설정을 해야 하나요?
Forums:
댓글 달기